ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini

Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini

Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini
Kadena sa pagsalig. CC BY-SA 4.0 Yanpas

Ang pag-inspeksyon sa trapiko sa SSL (SSL/TLS decryption, SSL o DPI analysis) nahimong mas init nga hilisgutan sa diskusyon sa sektor sa korporasyon. Ang ideya sa pag-decrypt sa trapiko ingon og sukwahi sa mismong konsepto sa cryptography. Bisan pa, ang kamatuoran usa ka kamatuoran: nagkadaghan ang mga kompanya nga naggamit sa mga teknolohiya sa DPI, nga gipatin-aw kini pinaagi sa panginahanglan sa pagsusi sa sulud alang sa malware, mga pagtulo sa datos, ug uban pa.

Buweno, kung dawaton nato ang kamatuoran nga ang maong teknolohiya kinahanglang ipatuman, nan kinahanglan natong tagdon ang mga paagi aron mahimo kini sa labing luwas ug labing maayong pagdumala nga posible nga paagi. Labing menos ayaw pagsalig sa mga sertipiko, pananglitan, nga gihatag kanimo sa supplier sa sistema sa DPI.

Adunay usa ka aspeto sa pagpatuman nga dili nahibal-an sa tanan. Sa pagkatinuod, daghang mga tawo ang natingala gayod sa dihang nakadungog sila bahin niini. Kini usa ka pribado nga awtoridad sa sertipiko (CA). Naghimo kini og mga sertipiko aron ma-decrypt ug ma-encrypt pag-usab ang trapiko.

Imbis nga magsalig sa mga sertipiko nga gipirmahan sa kaugalingon o mga sertipiko gikan sa mga aparato sa DPI, mahimo nimong gamiton ang usa ka gipahinungod nga CA gikan sa awtoridad sa sertipiko sa ikatulo nga partido sama sa GlobalSign. Apan una, buhaton nato ang usa ka gamay nga kinatibuk-ang paghulagway sa problema mismo.

Unsa ang SSL inspeksyon ug nganong gigamit kini?

Nagkadaghan ang mga publikong website nga mibalhin sa HTTPS. Pananglitan, sumala sa Mga istatistika sa Chrome, sa sinugdanan sa Septyembre 2019, ang bahin sa naka-encrypt nga trapiko sa Russia miabot sa 83%.

Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini

Ikasubo, ang pag-encrypt sa trapiko labi nga gigamit sa mga tig-atake, labi na tungod kay ang Let's Encrypt nag-apod-apod sa libu-libo nga libre nga mga sertipiko sa SSL sa usa ka awtomatiko nga paagi. Sa ingon, gigamit ang HTTPS bisan asa - ug ang padlock sa address bar sa browser wala na magsilbi nga kasaligan nga timailhan sa seguridad.

Ang mga tiggama sa mga solusyon sa DPI nagpasiugda sa ilang mga produkto gikan sa kini nga mga posisyon. Gi-embed sila tali sa mga end user (ie ang imong mga empleyado nga nag-browse sa web) ug sa Internet, nagsala sa makadaot nga trapiko. Adunay ubay-ubay nga mga produkto sa merkado karon, apan ang mga proseso parehas ra. Ang trapiko sa HTTPS moagi sa usa ka aparato sa pag-inspeksyon diin kini gi-decrypted ug gisusi kung adunay malware.

Kung kompleto na ang pag-verify, ang aparato maghimo usa ka bag-ong sesyon sa SSL kauban ang katapusan nga kliyente aron i-decrypt ug i-encrypt pag-usab ang sulud.

Giunsa ang pag-decryption/re-encryption nga proseso molihok

Aron ang kasangkapan sa inspeksyon sa SSL maka-decrypt ug ma-encrypt pag-usab ang mga packet sa dili pa ipadala kini ngadto sa mga end user, kinahanglan nga maka-isyu kini og mga SSL certificate sa langaw. Kini nagpasabot nga kini kinahanglan nga adunay usa ka CA certificate nga gibutang.

Importante alang sa kompanya (o bisan kinsa-sa-tunga-tunga) nga kini nga mga SSL nga sertipiko gisaligan sa mga browser (ie, ayaw pag-trigger sa makahahadlok nga mga mensahe sa pasidaan sama sa usa sa ubos). Busa ang CA chain (o hierarchy) kinahanglang anaa sa trust store sa browser. Tungod kay kini nga mga sertipiko wala gihatag gikan sa gisaligan sa publiko nga mga awtoridad sa sertipiko, kinahanglan nimo nga mano-mano ang pag-apod-apod sa hierarchy sa CA sa tanan nga mga kliyente sa katapusan.

Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini
Mensahe sa pasidaan alang sa kaugalingon nga gipirmahan nga sertipiko sa Chrome. Tinubdan: BadSSL.com

Sa mga kompyuter sa Windows, mahimo nimong gamiton ang Active Directory ug Group Policies, apan alang sa mga mobile device ang pamaagi mas komplikado.

Ang sitwasyon mahimong labi ka komplikado kung kinahanglan nimo nga suportahan ang ubang mga sertipiko sa ugat sa usa ka palibot sa korporasyon, pananglitan, gikan sa Microsoft, o gibase sa OpenSSL. Dugang pa sa pagpanalipod ug pagdumala sa mga pribadong yawe aron ang bisan unsang mga yawe dili ma-expire nga wala damha.

Labing maayo nga kapilian: pribado, gipahinungod nga sertipiko sa ugat gikan sa ikatulo nga partido nga CA

Kung ang pagdumala sa daghang mga ugat o gipirmahan sa kaugalingon nga mga sertipiko dili madanihon, adunay lain nga kapilian: pagsalig sa usa ka ikatulo nga partido nga CA. Sa kini nga kaso, ang mga sertipiko gi-isyu gikan sa pribado usa ka CA nga nalambigit sa usa ka kutay sa pagsalig sa usa ka dedikado, pribado nga gamut CA nga gimugna alang sa kompanya.

Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini
Gipasimple nga arkitektura alang sa gipahinungod nga mga sertipiko sa gamut sa kliyente

Kini nga setup nagwagtang sa pipila ka mga problema nga gihisgutan sa sayo pa: labing menos kini nagpamenos sa gidaghanon sa mga gamut nga kinahanglan nga madumala. Dinhi mahimo nimong gamiton ang usa lang ka pribado nga awtoridad sa ugat alang sa tanan nga internal nga panginahanglanon sa PKI, nga adunay bisan unsang gidaghanon sa mga intermediate nga CA. Pananglitan, ang dayagram sa ibabaw nagpakita sa usa ka multi-level nga hierarchy diin ang usa sa mga intermediate nga CA gigamit alang sa SSL verification/decryption ug ang lain gigamit alang sa internal nga mga kompyuter (laptop, server, desktop, ug uban pa).

Niini nga disenyo, dili kinahanglan nga mag-host og CA sa tanang kliyente tungod kay ang top-level nga CA gi-host sa GlobalSign, nga nagsulbad sa pribadong yawe nga proteksyon ug mga isyu sa expiration.

Ang laing bentaha sa kini nga pamaagi mao ang abilidad sa pagbawi sa awtoridad sa pag-inspeksyon sa SSL sa bisan unsang hinungdan. Hinunoa, usa ka bag-o ang gihimo lamang, nga gihigot sa imong orihinal nga pribadong gamut, ug mahimo nimo kini gamiton dayon.

Bisan pa sa tanan nga kontrobersya, ang mga negosyo labi nga nagpatuman sa SSL traffic inspection isip bahin sa ilang internal o pribadong imprastraktura sa PKI. Ang ubang mga gamit para sa pribado nga PKI naglakip sa pag-isyu og mga sertipiko para sa device o user authentication, SSL para sa internal nga mga server, ug lain-laing mga configuration nga wala gitugot sa publiko nga kasaligan nga mga sertipiko sama sa gikinahanglan sa CA/Browser Forum.

Ang mga browser nakig-away

Kinahanglan nga hinumdoman nga ang mga nag-develop sa browser naningkamot sa pagsumpo niini nga uso ug pagpanalipod sa mga end user gikan sa MiTM. Pananglitan, pipila ka adlaw ang milabay Mozilla mihimo ug desisyon I-enable ang DoH (DNS-over-HTTPS) protocol pinaagi sa default sa usa sa mga sunod nga bersyon sa browser sa Firefox. Ang protocol sa DoH nagtago sa mga pangutana sa DNS gikan sa sistema sa DPI, nga nagpalisud sa pagsusi sa SSL.

Mahitungod sa susamang mga plano Septiyembre 10, 2019 gipahibalo Google alang sa Chrome browser.

Ang DPI (SSL inspection) supak sa lugas sa cryptography, apan ang mga kompanya nagpatuman niini

Ang mga rehistradong tiggamit lamang ang makaapil sa survey. Sign in, walay sapayan.

Sa imong hunahuna ang usa ka kompanya adunay katungod sa pagsusi sa trapiko sa SSL sa mga empleyado niini?

  • Oo, uban sa ilang pagtugot

  • Dili, ang pagpangayo sa maong pagtugot kay ilegal ug/o dili etikal

122 ka tiggamit ang miboto. 15 ka tiggamit ang nag-abstain.

Source: www.habr.com

Idugang sa usa ka comment